ISA Server 2004 Service Pack 3, 31 Mayıs 2007 tarihinde kullanımımıza sunuldu. Genel olarak sektörümüzde Servis Paketleri indirilip hiçbir test yapılmadan kurulabiliyorlar ve tabi ki sonrasında yaşanan bir sorunda geri dönülmesi sıkıntılı noktalara gelinebiliyor. Önerim, güncellemelerin ilk olarak test sistemlerinde sınanmaları ve sonrasında yüklenmeleridir. Bu güncellemelerden bir tanesi olan ISA Server 2004 Service Pack 3, sadece SP2’ye kadar olan hotfix güncellemelerini değil hoşunuza gidecek yeni özellikler ve yetenekleri de içerisinde barındırmaktadır. Şimdi bu yenilikleri listeleyelim ve sırasıyla inceleyelim.
ü Güçlendirilmiş Log görüntülüme
ü Geliştirilmiş Log filtreleme
ü Güçlendirilmiş Log filtreleme yönetimi
ü Yeni Diagnostic Loglama
ü ISA Firewall Best Practices Analyzer ile tümleşik (integrated) çalışma
Güçlendirilmiş Log Görüntüleme
ISA Server 2004 hali hazırda Service Pack 3 yayımlanmadan öncede gayet düzgün şekilde çalışan bir log görüntüleyiciye sahipti. Loglanan öğeleri çeşitli koşullara göre filtreleyebiliyor ve bu filtreleri gerçek zamanlı olarak görebiliyorduk. Görünümleri etkinleştirerek ya da devre dışı bırakarak log dosyalarını daha kolay bir şekilde okuyabiliyorduk. Ancak buna rağmen bulmak istediğimiz veri ve bilgilere ulaşabilmek için liste içerisinde çok fazla gezinmemiz gerekebiliyordu. Service Pack 3 ile beraber Logging sekmesinde yeni bir panel olduğunu fark edeceksiniz. Normal şartlarda bu yeni eklenen paneli eğer herhangi bir log işlemi başlatmamışsanız No query results are currently in the log view şeklinde göreceksiniz.
Şekil-1
Eğer herhangi bir filtreleme yapılmışsa, gerçekleşen sonucu seçmiş olmamız o filtrenin tüm anahtar noktalarına ve bilgilerine ulaşabilmemiz için yeterli. Bu şekilde ilgili filtre sonucunun bizim ilgilendiğimiz bölümlerine ulaşmak için sütunlar arasında kaybolmamıza gerek kalmıyor. Yeni panelde filtrelenen log ile ilgili olarak aşağıdaki bilgileri bulabiliriz.
· Log Type, Status, Rule
· Source, Destination, Protocol
· User, Additional Information, Number Of Bytes Sent
· Processing Time, Original Client IP Address, Client Agent
Ayrıntı penceresinde filtrelenen bir logun yeni paneldeki örnek ayrıntılarını aşağıda görebilirsiniz.
Şekil-2
Geliştirilmiş Log Filtreleme
Bir önceki ekran görüntüsünde de fark edeceğiniz gibi loglanan bilgilerin bulunduğu panelde çeşitli renkler kullanılmış durumda. Yeni renk şeması ile beraber ihtiyacınız olan log bilgisine çok daha kolay şekilde ulaşabileceksiniz. Varsayılan renk şeması ise şöyle:
· Yeşil: İzin verilen bağlantı ve/veya Karantinadan çıkan kullanıcı (VPN Quarantine kullanımı yapılıyorsa.)
· Siyah: Sonlandırılan bağlantı, Sonlandırılan VPN bağlantısı, Bağlantı statüsü, Bağlantı kabulü, VPN bağlantı kabulü
· Red: Engellenen bağlantı, Hatalı bağlantı denemesi, Hatalı VPN bağlantı denemesi
· Turuncu: VPN karantina zaman aşımı
Aşağıda varsayılan renk şemasının ekran görüntüsünü bulabilirsiniz. Color butonunu kullanarak varsayılan renklendirmeler üzerinde değişiklik yapabilirsiniz. Bununla birlikte renklendirmiş olduğunuz log girdi türlerinde özelleştirme yapamazsınız. Export Color Scheme ya da Import Clolor Scheme butonlarını kullanarak renk şemalarını kaydedebilir ve farklı ISA sunucularına aktarabilirsiniz. Eğer herhangi bir şekilde renk şemasında yapmış olduğunuz özelleştirmelerde bir karışıklık olursa Restore Defaults butonu ile varsayılan ayarlara geri dönebilirsiniz. Renk şeması ile ilgili menüye ulaşmak için Tasks sekmesinde Define Log Text Colors linkini kullanabilirsiniz.
Şekil-3
Güçlendirilmiş Log Filtreleme Yönetimi ve Yapılandırılması
ISA Server 2004 Service Pack 3’den önce özelleştirilmiş bir log filtresini kaydetmek ya da import etmek istediğinizde Edit Filter iletişim kutusundan çıkmamız ve Task sekmesinde Import Filter ya da Export Filter komutlarını vermemiz gerekiyordu. Tabi ki bu işlemleri gerçekleştirmek için Edit Filter iletişim kutusunu kullanabilmemiz daha mantıklı bir seçim. Microsoft ISA Firewall Team bu durumu fark etmiş olacak ki bu işlevleri Edit Filter iletişim kutusuna eklemiş. Aşağıdaki ekran görüntüsünde de görebileceğiniz gibi özelleştirilmiş filtrelerimizi kaydedebileceğimiz ya da import edebileceğimiz Save Filter ve Load Filter butonları iletişim kutusu içerisine eklenmiş durumda. Ayrıca yine görebileceğiniz gibi filtre koşulları (Condition) arasına daha önce olmayan iki koşul eklenmiş. Not On Of… ve One Of…
Şekil-4
Örnek olarak eğer Filter by kutusunda Protocol seçip ardından Not One Of… koşulunu verirseniz Value kutusunda seçim yapacağınız alanlar etkinleşecektir. Eğer filtre sorgunuzda görmek istemediğiniz girdiler varsa bunları işaretlemelisiniz. Bir filtre sorgusu yapıyorsunuz ancak NetBIOS NameService bilgilerini içermesin istiyorsanız Not One Of… koşulunu kullanabilirsiniz. Bu özellik birden fazla Not Contains filtresi kullanmaktan bizi kurtaracaktır.
Şekil-5
Düşünelim ki Filter By kutusundan Protocol seçtik ve koşul olarak One Of… seçtik. Aynı şekilde Value kutusundan istediğimiz seçenekleri işaretleyebiliriz. Diğer yeni koşulumuz aksine bu koşul bize log dosyasında sadece görmek istediklerimizi filtrelemek için çok uygun bir seçenek sunmaktadır. Aynı şekilde bu özellik birçok Not Equal veya Not Contains filtresi kullanmaktan çok daha kolaydır.
Şekil-6
Yeni Diagnostic Loglama
Belki de ISA Server 2004 Service Pack 3 ile beraber gelen en etkileyici özellik yeni Diagnostic Loglama özelliğidir. Diagnostic Loglama özelliği ile ISA Server’ınıza yapılan ya da ISA Server’ınız üzerinden geçen her bir bağlantı hakkında en ufak parçasına kadar bilgi alabilirsiniz. Diagnostic Loglama içerisindeki bilgiler o kadar ayrıntılıdır ki ISA Firewall sunucunuzun her kuralı ve bağlantı bileşenini nasıl değerlendirdiğini ve ISA Server’ın karar verme mekanizmalarının nasıl işlediğini tam olarak kavrayabilirsiniz.
Altta bulunan ekran görüntüsünde Diagnostic Loglamanın yapılandırma ara yüzünü görebilirsiniz. 2 farklı türde olayı loglayabilirsiniz.
– Firewall Policy: Web Proxy trafiği dahil olmak üzere güvenlik duvarı kuralları ile ilgili logları içerir.
– Authentication: Kimlik doğrulama loglamasını içerir.
Şekil-7
ISA Firewall Best Practices Analyzer ile tümleşik (integrated) çalışma
ISA Firewall Best Practices Analyzer ISA sunucunuzun genel yapılandırma ya da yükleme sorunlarını teşhis edebileceğimiz bir araçtır. ISA BPA ISAinfo isimli bir araçla tümleşik olarak çalışır böylece ISA BPA’yı kullanarak sisteminiz ve ISA sunucu yapılandırmanız ile ilgili olarak etraflıca bilgi edinebilirsiniz.
Aslında ISA BPA farklı bir yüklemedir ve Service Pack 3 içerisine eklenmemiştir. Ancak bir kere yükledikten sonra ISA BPA’ya ISA Firewall konsolu üzerinde bulunan Troubleshoot bölümünden erişebilirsiniz.
ISA BPA’yı çalıştırdıktan sonra tespit edilen bulgular/hatalar ve yapılandırmanız hakkında ayrıntılı raporlar edinirsiniz. Aşağıda bulunan ekran görüntüsünde ISA BPA çalıştırıldıktan sonra tespit edilen durumların raporlanmasını görebilirsiniz. Tespit edilen duruma tıkladığınızda sorun hakkında daha ayrıntılı bilgiye ulaşabileceğiniz ve muhtemel çözüm adımlarının anlatıldığı bir link göreceksiniz.
Şekil-8
Rapor içerisinde kullanılan BPA’nın sürümü, ISA Server Service Pack durumu, işlemci sayısı, sistem diskinin boyutu, fiziksel RAM miktarı, ağ kartlarını sayısı gibi diğer bilgilendirici açıklamaları da bulabilirsiniz ve tabi ki bu bilgileri bir rapor dosyası şeklinde kayıt edip incelemesi için Jim Harrison’a gönderebilirsiniz. J (BPA’nın yaratıcısı.)
ISA Firewall BPA aracının yardım dosyalarını incelemenizi kesinlikle öneririm. ISA sunucunuz ile ilgili başka hiçbir yerde bulamayacağınız binlerce bilgiye bu yardım dosyası ile ulaşabilirsiniz. Emin olun buradan alacağınız bilgilerle iyi bir ISA Server Troubleshooter olabilirsiniz.
Şekil-9
Exchange Server 2007 Publishing Desteği
Service Pack 3 release bilgilendirmelerinde bu konuyla ilgili bazı şeyler geçse de dürüst olmak gerekirse tek bir konu dışında Exchange Server 2007 yayınlama ile ilgili dikkat çekici bir gelişme bulunmuyor. Eğer bir Exchange 2007 web sitesi yayımlaması gerçekleştirecekseniz /owa şeklinde yeni bir path eklenmiş durumda. Bunun dışına Exchange Server 2007 yayımlamak henüz hala birçok zorluk içermekte.
ISA Server 2004 Service Pack 3 Sorun Çözümleme
Herhangi bir sebeple Service Pack 3 yüklemesi bir sorunla karşılaşırsa bir rollback işlemi devreye girer ve güncellenen bileşenleri eski hallerine çevirir. Güncelleme ya da rollback esnasında ISA Firewall yönetim konsolu açıksa işlemler başarısız olacaktır. Bu durum genellikle sunucunuza bağlı fark edilmeyen bir RDP oturumu nedeniyle olabilir. Güncelleme hatalarında sistem eski ve yeni dosyaların karışık bir haliyle çalışmak zorunda kalabilir ve ISA servisleri başlamayabilir. Bu durumda çözüm sağlamak için iki seçenek önerilebilir.
1- Repair modunda yeniden yükleme
a) ISA Server sürümünüze göre Service Pack 3 yükleme dosyasını http://download.microsoft.com sitesinden indirin.
b) Tüm ISA Server ara yüzlerinin kapalı olduğuna ve hiçbir ISA Server aracının kullanılmadığına emin olun.
c) Aşağıdaki komutu kullanarak Service Pack dosyasını tekrar yükleyin.
Msiexec /p <SP3dosyasınınTamYolu> REINSTALL=all REINSTALLMODE=omus SKIP_DIAGLOGACLS=1 /l*v c:\sp3.log
2- ISA yönetimsel bileşenlerinin yeniden register edilmesi
a) Start—Run—CMD<ENTER>
b) Cd /d “%programfiles%\Microsoft ISA Server”
c) Regsvr32 wspadmin.dll
d) Md VPN\Netsh
e) Net start fwsrv
Service Pack 2’den farklı olarak Service Pack 3 güvenlik duvarı çekirdek işleyişinde bize yenilikler ya da değişiklikler getirmiyor. Bunun yerine ISA Server üzerinden akan trafiği daha iyi bir şekilde denetleyebilme ve olası sorunlara tanı koyabilmek için gelişmiş izleme ve filtreleme seçenekleri sunuyor. Başlangıçta bu tür pasif değişiklikler ve yenilikler çok önemli gözükmese de kullanıldıkça bize sağladığı katma değer daha iyi anlaşılacaktır.
Referanslar
